Hakerstwo to broń, po którą coraz częściej sięgają służby obcych państw. Polska jest na celowniku hakerów od dłuższego czasu.
Ataki na sieci internetowe należące do administracji publicznej (atak na intranet MON) czy komercyjne witryny internetowe (np. wyciek danych abonentów NETII w lipcu, kwietniowy atak na systemy informatyczne należące do banków) to zaledwie kilka przykładów działalności cyberprzestępców w naszym kraju.
Według rankingu sporządzonego przez firmę Check Point Software Technologies, Polska była najbardziej zagrożona cyberatakiem spośród wszystkich państw UE (znaleźliśmy się na 36. miejscu). Kiedy informatycy dwoją się i troją nad pytaniem jak zabezpieczyć sieć ,,żeby nie wpaść”, prawnik specjalizujący się w prawie międzynarodowym ma w kieszeni kilka rozwiązań. Oczywiście. Cyberprzestrzeń bowiem nie jest zawieszona w próżni prawnej.
Międzynarodowy „crash override”
Z pomocą przychodzą Karta ONZ i artykuły z Draft Articles on State Responsibility (DASR). Na tej podstawie cyberatak można zaliczyć do operacji militarnej innego państwa. Ciekawym przykładem jest atak rosyjskich hakerów na infrastrukturę informatyczną w Estonii w 2007 roku. W wyniku ,,hakerskiej napaści” zostało zniszczonych kilkanaście systemów informatycznych należących do estońskiej administracji publicznej oraz sieci komercyjnych
Atak sparaliżował wówczas najważniejsze estońskie instytucje państwowe i komercyjne. I chociaż adresy IP, z których dokonano inwazji, były zlokalizowane w różnych krajach, to eksperci zdołali ustalić, że większość z nich miała swoje źródło w serwerach należących do rosyjskiej administracji rządowej.
Artykuł 51 Karty ONZ mówi o prawie do samoobrony, indywidualnej lub zbiorowej, przed ,,napaścią zbrojną na któregokolwiek członka ONZ”. Warto zaznaczyć, że ,,napaść zbrojna’’ nie musi ograniczać się np. do inwazji terytorium geograficznego innego państwa. Może oznaczać każdą inną napaść. Wystarczy, że taki atak spowoduje poważne szkody w gospodarce (brak możliwości przeprowadzania transakcji bankowych), infrastrukturze informatycznej (zawieszona komunikacja) lub też, tak jak to było w przypadku Estonii, całkowicie sparaliżuje państwo skazując je na totalną izolację.
Nie musi to być też atak o charakterze ,,zbrojnym”, w tradycyjnym rozumieniu tego słowa. W orzeczeniu Międzynarodowego Trybunału Sprawiedliwości w Sprawie Działalności Militarnej i Paramilitarnej w Nikaragui, taki warunek został odrzucony. Komputer i klawiatura są wystarczającym orężem.
Z powodzeniem można powołać się na Artykul 2 (4) Karty ONZ, który zobowiązuje państwa do powstrzymania się od „użycia siły” (no chyba że dzieje się to za aprobatą Rady Bezpieczeństwa ONZ). Również tutaj polegałabym na wyżej zacytowanej „Nikaragui”, ze szczególnym uwzględnieniem fragmentu, w którym Trybunał stwierdza, że zakaz używania siły może dotyczyć [zbrojnych] grup wysyłanych na terytorium innego państwa.
A czy udałoby się przypisać Rosji odpowiedzialność za atak hakerski w Estonii? „Nikaragua” wnosiła m. in. o stwierdzenie, że wszelkie czyny contras (np. ataki na posterunki żołnierzy sił rządowych) mogą być przypisane Stanom Zjednoczonym (z racji inspiracji czy finansowania). Generalnie, prawo międzynarodowe nie przypisuje państwom odpowiedzialności za udzielanie wsparcia ugrupowaniom o charakterze paramilitarnym (a do takich można zaliczyć hakerów).
Wyjątkiem będzie sytuacja, w której dane państwo sprawuje pewną formę kontroli lub kieruje takim cyberatakiem. W przypadku ataku na estońską sieć informatyczną, większość adresów IP z których dokonano ataku, należała do rosyjskich administracji rządowych. To wystarczający dowód na to by stwierdzić, że Rosja sprawowała pewną kontrolę nad cyberatakiem (np. wystarczyło, że posiadała wiedzę na ten temat i udostępniła swoją infrastrukturę informatyczną). W takiej sytuacji Rosja łamie due diligence międzynarodowego zobowiązania, np. obowiązek upewnienia się, że jej terytorium nie jest wykorzystywane przez cyberprzestępców.